Версія 5.1 додана 2024/07/11 11:42 автором Ashterix
Показати останніх авторів
1 {{box cssClass="floatinginfobox" title="**Зміст**"}}
2 {{toc/}}
3 {{/box}}
4
5 {{info}}
6 Конфігурація зазнала суттєвих змін і не має зворотної сумісності з версією 6.
7 {{/info}}
8
9 (% class="wikigeneratedid" %)
10 Всі налаштування бандла знаходяться в файлі {{code language="none"}}config/packages/ufo_json_rpc.yaml{{/code}}.
11
12 (% class="wikigeneratedid" %)
13 Є можливість налаштувати параметри захисту API та деякі параметри формату даних, що віддається при запиті документації.
14
15 = Блок {{code language="none"}}security{{/code}} =
16
17 Наразі єдиним механізмом захисту доступу до вашого API є встановлення перевірки ключа доступу (api_token).
18
19 == Параметри {{code language="none"}}protected_api{{/code}} та {{code language="none"}}protected_doc{{/code}} (boolean) ==
20
21 (% class="wikigeneratedid" %)
22 Ці параметри вказує чи мають бути захищені API методи та документація, відповідно.
23
24 (% class="wikigeneratedid" %)
25 За замовченням апі методи захищені, а документація відкрита.
26
27 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
28 ufo_json_rpc:
29 security:
30 protected_api: true # Protection API requests
31 protected_doc: false # Protection API documentation
32 {{/code}}
33
34 (% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_api{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ.
35
36 Перш за все, треба визначитися з назвою токену.
37
38 == Параметр {{code language="none"}}token_name{{/code}} ==
39
40 Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_name: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам.
41
42 {{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}}
43 Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості:
44
45 - Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати.
46 - Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді.
47 - Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо.
48 - Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231.
49 {{/spoiler}}
50
51
52
53 Параметр {{code language="none"}}clients_tokens{{/code}}
54
55 Тепер слід вказати масив клієнтськіх токенів, які будуть мати доступ до API.
56
57 Тут є певна варіативність.
58
59 === Токени в параметрах ===
60
61 (% class="box errormessage" %)
62 (((
63 **НЕ РЕКОМЕНДОВАНО!!!**
64 \\Цей підхід допускається лише для локального тестування API
65 )))
66
67 Є можливість прописати токени хардкодом прямо в файлі налаштувань.
68
69 Це погано з позиції безпеки, якщо код зберігається в публічному репозиторію, то до цього токену буде мати доступ кожен.
70
71 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
72 ufo_json_rpc:
73 security:
74 token_name: 'Ufo-RPC-Token'
75 clients_tokens:
76 - 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it!
77
78 {{/code}}
79
80 === Токени в змінних оточення ===
81
82 Це найбільш доцільний механізм у разі, якщо ви розробляєте сервіс для розподіленого бекенду, що написаний на SOA (Сервіс-Орієнтована Архітектура). Зазвичай, в такому випадку, вам треба відкрити доступ до апі одному або обмеженій кількості клієнтських додатків і оновлення ключів не буде відбуватися занадто часто.
83
84 В такому випадку можна прописати токени в змінних оточення (файл {{code language="none"}}.env.local{{/code}} під час локальної розробки). Цей механізм достатньо безпечний з боку збереження доступів.
85
86 (((
87 {{code language="ini" layout="LINENUMBERS" title=".env.local"}}
88 TOKEN_FOR_APP_1=9363074966579432364f8b73b3318f71
89 TOKEN_FOR_APP_2=456fg87g8h98jmnb8675r4445n8up365
90 {{/code}}
91
92 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
93 ufo_json_rpc:
94 security:
95 token_key_in_header: 'Ufo-RPC-Token'
96 clients_tokens:
97 - '%env(resolve:TOKEN_FOR_APP_1)%' # token example from .env.local
98 - '%env(resolve:TOKEN_FOR_APP_2)%' # token example from .env.local
99 {{/code}}
100 )))
101
102 === Токени для користувача ===
103
104 Припускаю, що у вас може виникнути потреба зробити персональні ключі для користувачів вашого додатку, можливо ви захочете впровадити ліміти або інші обмеження.
105 В такому випадку вам не потрібно вказувати перелік токенів в конфігах, ви можете зберігати їх в базі даних або іншому місці згідно вашій бізнес-логіки. Єдина вимога, у вас має бути сервіс, який вміє перевіряти чи існує наданий токен.
106
107 Для того, щоб JsonRpcServer міг використовувати вашу логіку, доведеться реалізувати власний клас, що реалізує інтерфейс {{code language="none"}}Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator{{/code}}
108
109 {{code language="php" layout="LINENUMBERS" title="==== Приклад власного валідатора токенів ===="}}
110 <?php
111
112 namespace App\Services\RpcSecurity;
113
114 use App\Services\UserService;
115 use Symfony\Component\Security\Core\Exception\UserNotFoundException;
116 use Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator;
117 use Ufo\RpcError\RpcInvalidTokenException;
118
119 class UserTokenValidator implements ITokenValidator
120 {
121
122 public function __construct(protected UserService $userService) {}
123
124 public function isValid(string $token): true
125 {
126 try {
127 $this->userService->getUserByToken($token);
128 return true;
129 } catch (UserNotFoundException $e) {
130 throw new RpcInvalidTokenException(previous: $e);
131 }
132 }
133 }
134 {{/code}}
135
136 (% class="box warningmessage" %)
137 (((
138 **ВАЖЛИВО!!!**
139 Метод {{code language="none"}}isValid{{/code}} має повертати {{code language="none"}}true{{/code}} якщо токен існує і валідний, або викидати {{code language="none"}}Ufo\RpcError\RpcInvalidTokenException{{/code}} в іншому разі.
140 )))
141
142 Після цього вам потрібно в файлі {{code language="none"}}config/services.yaml{{/code}} прописати що класи, що мають залежність від інтерфейса {{code language="none"}}ITokenValidator{{/code}} мають приймати ваш новий клас.
143
144 {{code language="yaml" layout="LINENUMBERS" title="config/services.yaml"}}
145 parameters:
146 # some parameters list
147 # ...
148
149 services:
150 # some services list
151 # ...
152
153 Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator:
154 class: App\Services\RpcSecurity\UserTokenValidator
155 {{/code}}
156
157 = Блок {{code language="none"}}async{{/code}} =
158
159 Цей блок для налаштування [[асинхронного транспорту>>doc:docs.JsonRpcBundle.functionality.async.WebHome]].
160
161 Додайте параметр {{code language="none"}}rpc_async{{/code}} який містить рядок у форматі DSN. Цей рядок є конфігурацією [[Symfony Messenger>>https://symfony.com/doc/current/messenger.html]], він вказує на асинхронний транспорт по якому RPC Server буде очікувати вхідні запити якщо у вас запущений консюмер ({{code language="none"}}php bin/console messenger:consume rpc_async{{/code}}). Для більш детального розуміння цього процесу читайте документацію [[Symfony Messenge>>https://symfony.com/doc/current/messenger.html]].
162
163 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
164 ufo_json_rpc:
165 async:
166 rpc_async: '%env(resolve:RPC_TRANSPORT_DSN)%'
167
168 {{/code}}
169
170 (% class="box warningmessage" %)
171 (((
172 Це налаштування має на увазі, що у вас в змінних оточення встановлена змінна RPC_TRANSPORT_DSN що містить DSN рядок.
173 )))
174
175 = Блок {{code language="none"}}docs{{/code}} =
176
177 Цей блок налаштовує деякі параметри генерації документації коли ви робите GET запит на RPC Server.
178
179 (% class="box infomessage" %)
180 (((
181 Починаючи з версії 7, JsonRpcBundle генерує API документацію, що відповідає специфікації [[OpenRpc>>https://spec.open-rpc.org/]]
182 )))
183
184 * {{code language="none"}}project_name{{/code}}: Назва проєкту, що буде відображена в документації
185 * {{code language="none"}}project_description{{/code}}: Опис проєкту
186 * {{code language="none"}}project_version{{/code}}: Поточна версія вашого API
187 * {{code language="none"}}async_dsn_info{{/code}}: Відповідає за відображення в документації інформації про асинхронний транспорт
188 * (% id="cke_bm_826282S" style="display:none" %){{code language="none"}}validations.symfony_asserts{{/code}}{{code language="none"}}validations.symfony_asserts{{/code}}(%%): <bool> Відповідає за відображення рядку очікувань валідації для параметра (якщо ви використовуєте [[валідацію>>doc:docs.JsonRpcBundle.add_rpc_service.assertions.WebHome]])
189
190 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
191 ufo_json_rpc:
192 docs:
193 project_name: 'My Project'
194 project_description: 'My project description'
195 project_version: '1.0'
196 # Optional response details
197 async_dsn_info: false # Provide information about API that work asynchronously
198 validations:
199 symfony_asserts: false # Indicates if an array of Symfony validation constraints is used
200
201 {{/code}}
202
203 {{info}}
204 Не переймайтеся щодо безпеки ваших авторизаційних даних, що містяться в DSN.
205
206 Документатор побудований таким чином, що перед виводом інформації про DSN він видаляє дані про користувача і його пароль, а також інші секретні дані, як то токени, секретні ключі, тощо.
207
208 Шаблон, по якому відбувається захист {{code language="none"}}/([\w\d_]*(?:secret|access|token|key)[_\w]*)=((?:\w|\d)+(?=&?))/{{/code}}.
209
210 Приклад:
211
212 {{code language="json" layout="LINENUMBERS" title="RPC_TRANSPORT_DSN=https://sqs.eu-west-3.amazonaws.com/123456789012/messages?access_key=AKIAIOSFODNN7EXAMPLE&secret_key=j17M97ffSVoKI0briFoo9a"}}
213 {
214 "async": {
215 "scheme": "https",
216 "host": "sqs.eu-west-3.amazonaws.com",
217 "path": "/123456789012/messages",
218 "query": "access_key={access_key}&secret_key={secret_key}"
219 }
220 }
221 {{/code}}
222 {{/info}}
223
224 === Приклад документації ===
225
226 {{code language="json" layout="LINENUMBERS" title="GET: /api"}}
227 {
228 "openrpc":"1.2.6",
229 "info":{
230 "title":"My Project",
231 "description":"My project description",
232 "contact":{
233 "name":"ufo-tech/json-rpc-bundle",
234 "url":"https://docs.ufo-tech.space/bin/view/docs/JsonRpcBundle/?language=en"
235 },
236 "license":{
237 "name":"MIT"
238 },
239 "version":"1.0"
240 },
241 "servers":[
242 {
243 "url":"https://mysite.com/api",
244 "description":"Json-RPC api server from UFO Tec\n\nUFO Tech, or Universal Flexible Open Technologies, is an initiative aimed at providing PHP developers with tools to create complex yet user-friendly solutions for modern web applications and service-oriented architectures.",
245 "name":"UFO Json-RPC Server v.7.0.0",
246 "x-method":"POST",
247 "x-ufo":{
248 "envelop":"JSON-RPC-2.0/UFO-RPC-7.0.0",
249 "transport":{
250 "sync":{
251 "scheme":"https",
252 "host":"mysite.com",
253 "path":"/api",
254 "method":"POST"
255 },
256 "async":{
257 "scheme":"amqp",
258 "user":"{user}",
259 "pass":"{pass}",
260 "host":"mysite.com",
261 "port":5672,
262 "path":"/%2f/json-rpc"
263 }
264 },
265 "documentation":{
266 "json-rpc":"https://www.jsonrpc.org/specification",
267 "ufo-tech/json-rpc-bundle":"https://docs.ufo-tech.space/bin/view/docs/JsonRpcBundle/?language=en"
268 }
269 }
270 }
271 ],
272 "methods":[
273 {
274 "name":"getUserNameByUuid",
275 "tags":[
276 {
277 "name":"App\\Api\\UserApiService"
278 }
279 ],
280 "summary":"Get username by id",
281 "params":[
282 {
283 "name":"userId",
284 "description":"User Id format uuid",
285 "required":true,
286 "schema":{
287 "type":"string"
288 },
289 "x-ufo-assertions": "new Assert\\Uuid()"
290 }
291 ],
292 "result":{
293 "name":"string",
294 "description":"User Name",
295 "schema":{
296 "type":"string"
297 }
298 }
299 }
300 ]
301 }
302 {{/code}}